Coletar registros do AWS Route 53

Compatível com:

Este documento explica como configurar o AWS CloudTrail para armazenar registros de DNS do AWS Route 53 em um bucket do S3 e ingerir os registros do S3 no Google Security Operations. O Amazon Route 53 oferece registro em log de consultas DNS e a capacidade de monitorar seus recursos usando verificações de integridade. O Route 53 é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, uma função ou um serviço da AWS no Route 53.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS

Como configurar o AWS CloudTrail e o Route 53

  1. Faça login no console da AWS.
  2. Pesquise Cloudtrail.
  3. Se você ainda não tiver um rastreamento, clique em Criar rastreamento.
  1. Forneça um Nome do rastreamento .
  2. Selecione Criar bucket do S3 (também é possível usar um bucket do S3 atual).
  3. Forneça um nome para o alias do KMS da AWS ou escolha uma chave do KMS da AWS.
  4. Deixe as outras configurações como padrão e clique em Próxima.
  5. Selecione Tipo de evento e verifique se Eventos de gerenciamento está selecionado. Esses são os eventos que incluem chamadas de API do Route 53.
  6. Clique em Próxima.
  7. Revise as configurações em Revisar e criar.
  8. Clique em Criar rastreamento.
  9. No console da AWS, pesquise S3.
  10. Clique no bucket de registros recém-criado e selecione a pasta AWSLogs .
  11. Clique em Copiar URI do S3 e salve.

Configurar o usuário do IAM da AWS

  1. No console da AWS, pesquise IAM.
  2. Clique em Usuários.
  3. Clique em Adicionar usuários.
  4. Forneça um nome para o usuário (por exemplo, chronicle-feed-user).
  5. Selecione Chave de acesso - Acesso programático como o tipo de credencial da AWS.
  6. Clique em Next: Permissions.
  7. Selecione Anexar políticas atuais diretamente.
  8. Selecione AmazonS3ReadOnlyAccess ou AmazonS3FullAccess.
  1. Clique em Avançar: tags.
  2. Opcional: adicione tags, se necessário.
  3. Clique em PRÓXIMO: REVISAR.
  4. Revise a configuração e clique em Criar usuário.
  5. Copie o ID da chave de acesso e a chave de acesso secreta do usuário criado.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed de DNS do AWS Route 53

  1. Clique no pacote Amazon Cloud Platform.
  2. Localize o tipo de registro DNS do AWS Route 53.
  3. Especifique os valores nos campos a seguir.
    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.
    • URI é um: selecione Diretório ou Diretório que inclui subdiretórios, dependendo da estrutura do bucket.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • ID da chave de acesso: a chave de acesso do usuário com permissões para ler do bucket do S3.

    • Chave de acesso secreta: a chave secreta do usuário com permissões para ler do bucket do S3. Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Namespace do recurso: namespace associado ao feed.

  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.1. Especifique os valores nos campos a seguir.

    • Tipo de origem: Amazon SQS V2
    • Nome da fila: o nome da fila do SQS de onde ler.
    • URI do S3: o URI do bucket.
      • s3://your-log-bucket-name/
        • Substitua your-log-bucket-name pelo nome real do seu bucket do S3.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • ID da chave de acesso à fila do SQS: uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres.

    • Chave de acesso secreta da fila do SQS: uma chave de acesso da conta que é uma string alfanumérica de 40 caracteres.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  • Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento da UDM

Campo de registro Mapeamento da UDM Lógica
account_id read_only_udm.principal.resource.product_object_id O ID da conta da AWS associado à consulta.
firewall_domain_list_id read_only_udm.security_result.rule_labels.value O ID da lista de domínios a que o domínio consultado pertence.
firewall_rule_action read_only_udm.security_result.action A ação realizada pela regra de firewall que correspondeu à consulta. Os valores possíveis são "ALLOW", "BLOCK" ou "UNKNOWN_ACTION" se a ação não for reconhecida.
firewall_rule_group_id read_only_udm.security_result.rule_id O ID do grupo de regras de firewall que correspondeu à consulta.
logEvents{}.id read_only_udm.principal.resource.product_object_id O ID exclusivo do evento de registro. Usado como substituto se "account_id" não estiver presente.
logEvents{}.message Esse campo é analisado em outros campos do UDM com base no formato dele.
logEvents{}.timestamp read_only_udm.metadata.event_timestamp.seconds O horário em que a consulta DNS foi registrada.
messageType Esse campo é usado para determinar a estrutura da mensagem de registro.
proprietário read_only_udm.principal.user.userid O ID da conta da AWS do proprietário do registro.
query_class read_only_udm.network.dns.questions.class A classe da consulta DNS.
query_name read_only_udm.network.dns.questions.name O nome de domínio consultado.
query_timestamp read_only_udm.metadata.event_timestamp.seconds A hora em que a consulta DNS foi feita.
query_type read_only_udm.metadata.product_event_type O tipo de consulta DNS.
rcode read_only_udm.metadata.description O código de resposta da consulta DNS.
região read_only_udm.principal.location.name A região da AWS em que a consulta foi originada.
srcaddr read_only_udm.principal.ip O endereço IP do cliente que fez a consulta de DNS.
srcids.instance read_only_udm.principal.hostname O ID da instância do cliente que fez a consulta de DNS.
srcids.resolver_endpoint read_only_udm.security_result.rule_labels.value O ID do endpoint do resolvedor que processou a consulta.
srcids.resolver_network_interface read_only_udm.security_result.rule_labels.value O ID da interface de rede do resolvedor que processou a consulta.
srcport read_only_udm.principal.port O número da porta do cliente que fez a consulta DNS.
transport read_only_udm.network.ip_protocol O protocolo de transporte usado para a consulta DNS.
version read_only_udm.metadata.product_version A versão do formato dos registros de consultas do resolvedor do Route 53.
N/A read_only_udm.metadata.event_type Codificado como "NETWORK_DNS".
N/A read_only_udm.metadata.product_name Codificado como "AWS Route 53".
N/A read_only_udm.metadata.vendor_name Codificado como "AMAZON".
N/A read_only_udm.principal.cloud.environment Codificado como "AMAZON_WEB_SERVICES".
N/A read_only_udm.network.application_protocol Codificado como "DNS".
N/A read_only_udm.network.dns.response_code Mapeado do campo "rcode" usando uma tabela de pesquisa.
N/A read_only_udm.network.dns.questions.type Mapeado do campo "query_type" usando uma tabela de pesquisa.
N/A read_only_udm.metadata.product_deployment_id Extraído do campo "logevent.message_data" usando o padrão grok.
N/A read_only_udm.network.dns.authority.name Extraído do campo "logevent.message_data" usando o padrão grok.
N/A read_only_udm.security_result.rule_labels.key Defina como "firewall_domain_list_id", "resolver_endpoint" ou "resolver_network_interface", dependendo dos campos disponíveis.
N/A read_only_udm.security_result.action_details Definido como o valor de "firewall_rule_action" se não for "ALLOW" ou "BLOCK".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.